Zu den spannenden Begleiterscheinungen, wenn man in doppelter Funktion als CTO und CISO bei BeyondTrust arbeitet, zählen Konferenzbesuche als Hersteller (CTO) und zugleich als potentieller Sicherheitskunde (CISO). Das sprichwörtliche Tragen mehrerer Hüte bedeutet konkret, dass ich in der CTO-Rolle berichte, wie unsere Lösungen verschiedene Sicherheitsherausforderungen lösen können — dabei geht es um Themen wie Benutzerprivilegien, privilegierte Zugriffe, Identitäts- und Schwachstellenmanagement. Trage ich den CISO-Hut hingegen, möchte ich alles über neueste Sicherheitsbedrohungen and -risiken erfahren, um die richtige Strategie zur (kosten)effektiven Absicherung unseres Unternehmens entwickeln zu können.
Die zentrale Herausforderung für die Cybersicherheit ist, dass selbst ein CISO mit unbegrenzten Ressourcen zum Schutz einer Organisation von einem Sicherheitsvorfall betroffen sein kann. Zum IT-Risikomanagement gehört es, potentielle Risiken verstehen und kontrollieren zu können. Erfolgreich ist man dann, wenn Risiken im Rahmen eines begrenzten Budgets so weit wie möglich minimiert werden. Es bleibt (zumindest aktuell) immer noch ein Restrisiko, aber damit muss man wohl leben müssen (und die Gefahren trotzdem bestmöglich eingrenzen).
Beim Besuch des diesjährigen „Gartner Security & Risk Management Summit (SRM) 2019“ in Washington, D.C., war das nicht viel anders. Einerseits habe ich erfreut zur Kenntnis genommen, welche Reputation sich BeyondTrust durch branchenführende und erfolgreiche Lösungen gegenüber dem Wettbewerb erarbeitet hat. Und andererseits blieb mir auch nicht verborgen, dass einige Sicherheits-Tools mit unglaublich komplexen Implementierungsvorgaben, unbewiesenen Annahmen und unpraktischen Technologien ausgeliefert werden, die sich negativ auf die Nutzung, Dauer und Effizienz im Firmeneinsatz auswirken können. Jeder CISO stellt sich dann zwangsläufig die Frage, ob man Erstanwender, Visionär oder Nachzügler sein sollte. Der Aufwand für die Implementierung, anfallende Zusatzkosten und der langfristige Nutzen bei der Beseitigung von IT-Risiken sind für alle CISOs grundsätzliche Hauptgedanken.
Welche Erkenntnisse konnte ich also von der Konferenz mitnehmen? Von der Keynote-Präsentation blieb mir als CTO vor allem eine Folie im Gedächtnis — die „Top 10 der Sicherheitsprojekte 2019“ nach Einschätzung von Gartner sind:
- Privileged Access Management
- Priorisiertes Vulnerability Management
- Erkennung und Gegenmaßnahmen
- Cloud Security Posture Management (CSPM)
- Cloud Access Security Broker (CASB)
- Geschäfts-E-Mail-Kompromittierung
- Dark Data Discovery
- Sicherheits-Incident-Behandlung
- Container-Sicherheit
- Security-Rating-Dienste
Für einen IT-Sicherheitsanbieter wie BeyondTrust ist es natürlich eine besondere Motivation, wenn mit Privileged Access Management (PAM) das eigene Hauptbetätigungsfeld auf der Prioritätenliste ganz oben ausgewiesen wird. Und ja, es ist schon ein gutes Gefühl, auf den Rücken geklopft zu werden; aber wir wollen bescheiden bleiben, denn Privileged Access Management wurde nicht immer diese Bedeutung beigemessen. Schließlich gibt es PAM-Produkte bereits seit 1985, aber erst in den vergangenen Jahren hat dieser Angriffsvektor eine besondere Brisanz entwickelt, weil immer mehr Angreifer die Kontrolle über Accounts, IT-Ressourcen und IT-Assets einer Organisation gewinnen wollen.
Als CISO habe ich aber auch ein paar weitere Anmerkungen zu dieser Rangliste:
- „Zuhause schmeckt’s am besten“ heißt es, und intern wollen wir deshalb auch zuvorderst auf eigene Produkte setzen. Gesagt, getan. Privileged Access Management und das Least-Privilege-Prinzip sollten für jede sicherheitsbewusste Organisation der Standard sein — das ist bei uns nicht anders. Das ist so und das ist kein Marketing, und deshalb greift Gartner das auch in seiner Top-10-Liste auf.
- Grundlagen der Cybersicherheit sind Vulnerability Management, Patch Management, Detection-and-Response- sowie Incident-Response-Technologien. Dieser hohen Bedeutung trugen auch viele Präsentationen und Herstelleraussagen auf der diesjährigen SRM-Konferenz Rechnung und es ist davon auszugehen, dass sich das auch bei den IT-Policies, Prozessen und Produkten niederschlägt. Der Schlüssel zum Erfolg ist also, die Daten unter Sicherheitsaspekten auf allen Ebenen zu begleiten — von den IT-Technikern über die Abteilungsleiter bis zum Vorstand. Die Botschaft ist klar und deutlich, und zwar bei allen Anbietern auf dem Konferenzgelände.
- Die „Cloud“ hat es gleich zwei Mal in Gartners Top 5 geschafft. Wer stark auf die Cloud setzt, sollte sich die Punkte genau anschauen. Und auch wenn es hier speziell um die Cloud geht, sind auch die anderen Angriffsvektoren für Cloud-Umgebungen relevant.
- Gartners letzter Punkt (#10) über Security-Rating-Dienste ist besonders interessant. In den nächsten Jahren sehe ich hier eine steigende Nachfrage beim hersteller- und lieferkettenbezogenen Sicherheitsmanagement. Aus meiner Sicht wird das nicht ohne eine robustere Datenbasis gehen, ähnlich wie bei der Bonitätsprüfung.
Abschlussgedanken zum Gartner-SRM-Event
Was mir auf dem Gartner SRM Summit außerdem noch aufgefallen ist:
- Die Veranstaltung wird von Jahr zu Jahr größer, was die Bedeutung von IT-Sicherheits- und Risikomanagement unterstreicht. Dabei gibt es interessante Überschneidungen zum Identity- and Access Management (IAM), weil der Missbrauch von Benutzerprivilegien ein Hauptangriffsvektor ist.
- Die Zahl der Anbieter mit neuen Produktangeboten zur Abwehr von Bedrohungen ist beeindruckend. Einige Herstellerlösungen sind zwar Nischenprodukte, aber die Technikfunktionen und potentiellen Ergebnisse sind schon spannend.
- Eines noch: Bitte keine USB-Sticks zustecken, die „irgendwas“ gespeichert haben! Ich war schon überrascht, an wie vielen Ständen kostenlose USB-Speichersticks mit Infos und Testsoftware gereicht wurden. Keine gute Idee... Wem das nicht klar ist, sollte gar nicht erst auf die Sicherheitskonferenz gehen.
Mehr Informationen über BeyondTrust (Leader im Gartner Magic Quadrant for PAM) sind im Web abrufbar und betreffen insbesondere die Punkte 1 (PAM) und/oder 2 (Priorisiertes Vulnerability Management) auf der Gartner-Liste der wichtigsten Sicherheitsprojekte 2019 — kontaktieren Sie uns.
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.